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DISPOSITIF D' ADAPTATION DYMARfllQUE DE FILTRES DE DQMI^EES 



Uinvention concerne !e domaine du traitement de donnees, et plus 
5 particulierernent celui du filtrage de donnees au niveau d'un point d'un r6seau 
public ou prive raccorde a un autre r6seau public ou prive ou raccorde a des 
terminaux d'utilisateurs. 

Le filtrage de donnees est g6n£ralement assure par des serveurs 
informatiques §quip6s d'un dispositif de traitement de type pare-feu (plus 
10 connu sous le nom anglais « firewall »). Un pare-feu est habituellement 
destine & assurer la protection de reseaux priv6s (ou internes), de type LAN, 
ou de terminaux d'utilisateurs isoles centre les attaques ou intrusions 
exterieures provenant g^neralement d'un r6seau public (ou externe), de type 
WAN, tel qu'Internet II peut 6galement servir & limiter faeces d'utilisateurs 
15 d'un r6seau prive a un reseau public, et/ou proteger le serveur a regard des 
deux reseaux, interne et externe. 

Pour assurer rune au moins des fonctions precitees, ou en d'autres 
termes pour pouvoir filtrer les paquets de donnees regus par le serveur dans 
lequel il est implante, le pare-feu doit etre configure. Pour ce faire, on utilise 
20 generalement des regies primalres (ou 6lementaires) definissant des filtres. 
La configuration du pare-feu a done pour objet de lui faire appliquer une suite 
ordonn6e (au sens mathematique du terme) de filtres actifs. A reception d'un 
paquet de donnees, on confronte les caracteristiques du paquet a celles des 
filtres de la suite ordonnee, de sorte que seuis poursuivent leur chemin les 
25 paquets presentant des caracteristiques compatibles avec celles des filtres. 

La configuration d'un pare-feu est une operation delicate effectuee 
manuellement par l'administrateur du reseau auquel il appartient. Du fait de 
cette intervention manuelte, statique, !a configuration peut etre 
fonctionnellement correcte mais inadaptee ou non optimale, Elle peut meme 
30 s'averer erronee, Dans tous les cas, cela ce traduit generalement par une 
degradation des performances du serveur. 

Les reseaux evoluant frequemment, les pare-feux doivent etre 
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regulierement reconfigures, ce qui non seulement multiplie les risques cTerreur 
ou d'inadaptation, mais egalement entraine une perte de temps importante 
pour i'administrateur du reseau. 

L'invention a done pour but de resoudre tout ou partie des 
inconvEnients precites, en proposant un dispositif d'adaptation dynamique des 
filtres de pare-feu prenant en compte, en temps reel, tant les modifications et 
Evolutions du param^trage du reseau ou des services offerts par le reseau, 
que les 6venements non previsibles. 

Elle propose & cet effet un dispositff de traitement de donnees, 
destine a §tre implante dans un serveur informatique pouvant recevoir des 
donnees primaires (ou paquets de donnees) et transmettre ces donnees 
primaires apr&s application, par des moyens de contrdle (de type pare-feu), 
de traitements spEcifiques reposant sur des regies primaires. 

Ce dispositif se caracterise par le fait qu'il comprend i) une premiere 
table dans laquelle sont stock^es les « definitions/prototypes » d'ensembles 
de regies primaires (dits « meta-regles primaires »), sous une forme 
parametrable, en correspondence d'identifiants primaires, (chaque ensemble 
ou meta-regle primaire comprenant au moins une regie primaire), et ii) des 
moyens de gestion destines & etre couples aux moyens de controle et 
capables de selectionner dans la premiere table certains identifiants primaires 
et, a reception de donnees auxiliaires representatives de parametres de 
fonctionnement, delivrees par les moyens de contrSle consecutivement a la 
reception de donnees secondares par le serveur, pour selectionner dans la 
premiere table Tun au moins des identifiants primaires et lui associer les 
donnees auxiliaires regues, de maniere £ (re)d6finir les traitements 
specifiques. 

On entend ici par « donnees auxiliaires » des donnees (ou valeurs) 
qui doivent etre attributes a des parametres de fonctionnement des regies 
primaires d'une meta-regle que Ton souhaite mettre en ceuvre dans des 
moyens de controle, tels qu'un pare-feu, consecutivement a la reception de 
donnees secondares par le serveur. Par ailleurs, on entend ici par « donnees 
secondaires » toute information, regue par le serveur (ou ses moyens de 
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controle), dont le contenu est interpret comme un besoin de reconfiguration 
des moyens de controle. II pourra s'agir de donnees (ou champs) contenues 
dans des paquets de donnees primalres ou d'evenements survenus dans un 
reseau, comme par exemple I'ajout d'une carte. 

De la sorte, les moyens de gestion peuvent reconfigurer, de facon 
dynamique et sans intervention humaine, les moyens de contrdle chaque fois 
que cela s'avere necessaire, a partir des meta-regles primaires definies et 
stockees dans la premiere table et des informations (donnees auxiliaires) 
fournies par le serveur. 

Selon une autre caracteristique de Invention, le dispositif peut 
comprendre une seconde table, accessible aux moyens de gestion (et de 
preference incorporee dans ceux-ci, tout comme la premiere table), dans 
laquelle sont stockes des identifiants secondares en correspondance, 
chacun, d'au moins un identifiant primaire selectionne (ou active) associe a 
des donnees auxiliaires (c'est-a-dire ceux qui designent des meta-regles 
mises en oeuvre dans les moyens de contr6le avec des parametres de 
fonctionnement represents par les donnees auxiliaires). Dans ce cas, il est 
avantageux que les moyens de gestion puissent, a reception des donnees 
auxiliaires, determiner s'il leur correspond deja dans la seconde table des 
identifiants secondaires selectionnes, de maniere a leur associer de nouvelles 
donnees auxiliaires destinees a adapter les traitements specifiques. Cela 
permet de ne modifier que la partie de la configuration qui doit I'etre et non 
Nntegralite de celle-ci. 

Certaines meta-regles primaires selectionnees peuvent §tre 
regroupees dans la seconde table en meta-regles secondaires egalement 
representees par des identifiants secondaires, associes a des donnees 
auxiliaires. 

Un identifiant secondare peut etre identique, ou non, a un identifiant 
primaire. Par exemple, une meta-regle primaire pourra posseder le m§me 
identifiant (primaire) dans les premiere et seconde tables si elle n'est mise en 
ceuvre que sous un unique parametrage (ou jeu de donnees auxiliaires) dans 
le pare-feu. En revanche, une meta-regle primaire devra porter un identifiant 
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secondare different de son identlfiant primaire lorsqu'elle est mise en ceuvre 
sous plusieurs parametrages differents dans le pare-feu. 

Ces meta-regles (primaires) el « super » meta-regles (secondares) 
permettent de reduire encore plus les temps de (re)configuration. 
5 Preferentiellement, les moyens de gestion comprennent une 

multiplicity de sous-modules de gestion destines chacun a gerer I'association 
de donnees auxiliaires a une ou plusieurs meta-regles primaires ou 
secondaires (I'important etant que les sous-modules operant une partition des 
meta-regles primaires ou secondaires dont its sont responsables), et sont 
10 agences, & reception des donnees auxiliaires, pour determiner parmi les 
sous-modules de gestion celui qui leur correspond. Cela faciiite l'op§ration de 
reconfiguration et permet Egalement d'en reduire la duree. 

Par ailleurs, les moyens de gestion peuvent §tre agences, a reception 
de certaines donnees auxiliaires, pour supprimer de la seconde table I'un au 
15 moins des identifiants secondaires stockees (cela revient a deselectionner ou 
desactiver une meta-regle primaire ou secondaire au niveau des moyens de 
controle). lis peuvent etre egalement agences, a reception de donnees 
complementaires communiquees par le serveur, pour ajouter, supprimer ou 
modifier dans la seconde table des meta-regles primaires ou secondaires ou 
20 des donnees auxiliaires assoctees aux meta-regles primaires ou secondaires. 

En outre, les moyens de gestion et les tables font preferentiellement 
partie d'un « m<§ta » pare-feu g§rant un pare-feu §quipant le serveur et 
comportant les moyens de contrdle. 

L'invention concerne en outre un pare-feu §quipe d'un dispositif du 
25 type de celui presents ci-avant. 

L'invention conceme egalement un precede de traitement dynamique 
de donnees consistant a appliquer a des donn§es primaires recues par un 
serveur informatique, des traitements specifiques a partir de regies primaires, 
de sorte que les donnees primaires regues soient traitees avant d'etre 
30 transmises par ledit serveur. 

Ce precede se caracterise par le fait qu'il comprend une etape 
pr^liminaire dans laquelle on stocke dans une premiere table des ensembles 
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de regies primaires (ou meta-regles d'au moins une regie primaire), sous une 
forme parametrable, en correspondance d'identifiants primaires, pu.s on 
selectionne dans la premiere table certains identifiants primaires et, a 
reception de donnees auxiliaires representatives de parametres de 
5 fonctionnement, delivrees par le serveur consecutivement a la reception de 
donnees secondares, on selectionne dans la premiere table Fun au moms 
des identifiants primaires et on associe a cet identifiant primaire les donnees 
auxiliaires, de maniere a definir les traitements specifiques. 

Selon une autre caracteristique de Invention, lors de I'etape 
L0 preliminaire on stocke dans une seconde table des identifiants secondaires 
en correspondance, chacun, d'au moins un identifiant primaire selecttonne 
associe a des donnees auxiliaires. 

Certaines meta-regles primaires peuvent etre regroupees dans la 
seconde table en meta-regles secondaires representees par des identifiants 

15 secondaires. 

Selon une autre caracteristique de Invention, on peut paralleliser, 
d'une part, la selection dans la premiere table des meta-regles primaires, et 
d'autre part, la modification dans la seconde table des donnees secondaires 
associees a I'identifiant secondaire represents des meta-regles primaires ou 
20 secondaires selectionnees. 

Par ailleurs, le precede peut permettre, a reception de certaines 
donnees auxiliaires, la suppression de I'une au moins des meta-regles 
primaires ou secondaires stockees dans la seconde table. De meme, le 
precede peut permettre, a reception de donnees complementers 
25 communiquees par le serveur, I'ajout, la suppression ou la modification dans 
la seconde table de meta-regles primaires ou secondaires. 

Le dispositif et le procede selon Tinvention sont tout particulierement 
adaptes, bien que de facon non exclusive, au filtrage de donnees dans les 
reseaux de telecommunications publics et prives. 
30 D'autres caracteristiques et avantages de Invention apparattront a 

I'examen de la description detaiilee ci-apres, et des dessins annexes, sur 
lesquels : 



- la figure 1 illustre de facon tres schematique un serveur raccorde a 
deux reseaux prive et public et equipe d'un dispositif selon I'invention, 

- la figure 2 est un diagramme bloc detaillant de facon schematique un 
exemple de realisation d'un dispositif selon I'invention. 

5 Les dessins annexes sont, pour I'essentiel, de caractere certain. En 

consequence, ils pourront non seulement servir a completer I'invention, mais 
aussi contribuer a sa definition, le cas echeant. 

Dans la description qui suit, comme illustre sur la figure 1, il sera fait 
reference a un dispositif de traitementde donnees 1 implante dans un serveur 

10 informatique 2, installe a un nceud (ou point) de liaison entre un reseau public 
(ou externe) 3 et un reseau prive (ou interne) 4. Mais, le serveur pourrait etre 
implante en de nombreux autres endroits, comme par exemple chez un 
prestataire de services, ou chez un cable-operateur. 

Le reseau public 3 est, par exemple, le reseau Internet, et le reseau 

is prive 4 est, par exemple, un reseau local de type LAN (pour « Local Area 
Network ») raccorde a une multiplicity de terminaux d'utilisateurs. 

Bien entendu, le dispositif 1 pourrait etre implante dans un boftier 
externe, de type equipement auxiliaire, raccorde au serveur 2, celui-ci etant 
alors directement raccorde au reseau externe (Internet). 

20 Dans I'exemple illustre, le serveur est de type « routeur », dans la 

mesure ou les paquets de donnees (primaires) entrants et sortants sont 
sensiblement identiques. Ce serveur 2 est par exemple destine a I'echange 
de donnees vocales. II est par exemple equipe de plusieurs cartes 
electroniques qui communiquent sur le reseau interne 4. L'une de ces cartes 

25 permet I'acces au reseau externe 3 (ici Internet). Elle comporte done des 
interfaces WAN (ADSL, ISDN, Ethernet). Chaque carte possede ses propres 
privileges, notamment en matiere de type de trafic qu'elle peut generer sur le 
reseau interne 4, compte tenu des autres materiels informatiques de ce 
reseau interne. 

30 De preference, le serveur 2 heberge egalement des services 

configurables ou parametrables, comme par exemple un module de courrier 
electronique, un module Intranet, un module de reseau prive virtuel (plus 
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connu sous I'acronyme anglais VPN (pour « Virtual Private Network »). et 
analogue. 

Le serveur 2 est egalement equipe d'un pare-feu (ou « firewall ») 5 
destine principalement, comme cela est bien connu de Phomme de I'art, a 
5 filtrer les paquets de donnees primaires recus, soit du reseau externe 3, via 
I'interface d'entree/sortie 6, soit du reseau interne 4, via I'interface 
d'entree/sortie 7. 

Le pare-feu (ou coupe-feu) 5 permet ainsi de proteger les terminaux 
d'utilisateurs Ti, ou ici le reseau priv6 4, des agressions et attaques provenant 
io du reseau exterieur 3. 

Tout type de filtrage peut etre envisage, des lors qu'il repose sur 
('application de regies elementaires (ou primaires) parametrables aux paquets 
de donnees primaires recus par le serveur 2. II peut etre generalise a 
I'ensemble d'un reseau, ou a des sous-parties d'un reseau, ou encore adapts 
a chaque utilisateur. Dans ce dernier cas, le filtrage porte egalement sur 
rauthentification de I'utilisateur. 

Bien entendu, le pare-feu peut etre configure de maniere a assurer 
d'autres fonctions que le filtrage. II peut notamment enregistrer certaines 
informations echangees entre les terminaux d'utilisateurs et le reseau externe. 
Generalement, il s'agit de sauvegarder dans une m§moire, adaptee a cet effet 
les coordonnees des connexions precedemment acceptees (adresse de 
I'utilisateur, adresses (par exemple URL) des pages consumes sur les 
differents sites, date et heure de la consultation). II peut egalement etre 
configure de maniere a faire remonter I'analyse des paquets de donnees dans 
les couches superieures du modele OSI du pare-feu. par exemple de sorte 
que ledit pare-feu decide du rejet ou de ('acceptation d'un paquet en fonction 
d'elements appartenant a sa couche applicative. II peut en outre etre 
configure de maniere a garder une trace de certains paquets echanges (mode 
« LOG ») et/ou a modifier le contenu de certains paquets (mode « NAT », 
30 pour Network Adress Translation - par exemple pour le masquage des 
adresses IP du reseau interne). 11 peut egalement etre configure pour assurer 
la detection de virus. 
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Dans I'exemple illustre, Is pare-feu 5 constitue une partie du dispositif 
selon I'invention 1. Mais, dans une variante, le dispositif 1 pourrait etre 
simplement couple a un pare-feu « natif », afin de gerer et controler 
dynamiquement sa configuration. 

5 On se refere maintenant a la figure 2 pour decrire en detail un 

exemple de dispositif de traitement (1) selon I'invention. 

Comme indique precedemment, dans cet exemple le dispositif 1 
comporte, tout d'abord, un module de controle constituant le pare-feu (ou 
firewall) 5. Ce pare-feu 6tant sensiblement identique aux pare-feux 

10 traditionnels (ou natifs), il ne sera done pas decrit en detail. Sa structure en 
couche, notamment, sera ignoree dans ce qui suit, dans la mesure ou elle est 
parfaitement connue de I'homrne de Tart. 

Le module pare-feu 5 est destine a recevoir du serveur 2 les paquets 
de donnees primaires, recus par I'une de ses interfaces d'entree/sortie 6 et 7, 

is afin de leur appliquer des traitements specifiques (ou filtrages) definis a partir 
de regies elementaires (ou primaires) parametrables. 

Plus precisement, le module pare-feu 5 fait inttialement I'objet d'une 
configuration reposant sur I'implantation d'une suite ordonnee de regies 
primaires parametrables definissant des filtres actifs, de sorte que lesdits 

20 filtres puissent etre appliques aux paquets, sequentiellement et de facon 
ordonnee en fonction de leurs caracteristiques propres, telles que les 
adresses sources et de destination, les interfaces reseaux d'entree et de 
sortie, les protocoles d'echange au dessus d*IP, tels que TCP, UDP ou ICMP 
(par exemple dans le cas d'lntemet), ou encore en fonction de parametres 

25 propres au protocole d'echange, tels que les ports source et de destination 
dans le cas de TCP et UDP, ou le type de paquet dans le cas d'ICMP. 

Generalement, la configuration d'un pare-feu doit interdire tout trafic 
par defaut et les filtres actifs ne doivent autoriser que certains sous 
ensembles de trafic qui doivent I'etre. Par exemple un routeur connectant un 

30 reseau interne a Internet peut mettre en oeuvre les regies simplifiees 
suivantes : 

• accepter des paquets relatifs a un paquet precedemment accepte ; 
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o accepter les paquets venant du reseau interne (LAN) et allant vers Internet, 
par exemple lorsqu'ils sont de type HTTP ou HTTPS (TCP/80 et 
TCP/443); 

. accepter les paquets venant du LAN a direction du routeur, par exemple 
lorsqu'ils sont de type DNS (UDP/53) ou Echo Request (ICMP, type echo 
request) ; 

« accepter les paquets relatifs au serveur de messagerie situe sur le LAN 
d'une I'entreprise et d'adresse specifiee « *@* », par exemple les paquets 
SMTP (TCP/25) venant d'lntemet et allant vers le LAN a l'adresse *@*. ou 
les paquets SMTP et POP3 (TCP/25 et TCP/110) venant de I'adresse *@* 
et allant vers Internet. 

En fonction des resultats du filtrage, le module pare-feu 5 delivre au 
serveur 2 soft les donnees primaires trartees, c'est-a-dire filtrees et 
eventuellement completes et/ou modifiees, sort un message de rejet des 
donnees primaires recues. Bien entendu, les donnees primaires peuvert 
aussi ne faire que traverser le serveur apres leur acceptation par le module 
pare-feu 5. 

Le dispositif 1 comprend un module de gestion 8 pour optimiser la 
suite ordonnee de regies elementaires definissant la configuration du serveur, 
mais surtout pour permettre qu'il sort reconfigure dynamiquement, de facon 
optimale, chaque fois que le serveur 2 (ou son module pare-feu 5) recoit des 
donnees secondares correspondant, par exemple, a une modification sur le 
reseau interne 4, ou a un evenement imprevu sur le reseau interne 4 ou 
externe 3, tout en lui assurant un haut niveau de securite. 

Plus precisement, le module de gestion 8 est destine a adapter, de 
facon dynamique, la configuration du module pare-feu 5, d'une premiere part, 
aux caracteristiques physiques (ou materielles) du serveur 2, comme par 
exemple le nombre de cartes electroniques qu'il contient, le type de ces 
cartes, ou la topologie du reseau interne 4, d'une deuxieme part, a la 
) configuration de fonctionnement du serveur, par exemple pour qu'il puisse 
assurer certains services internes et/ou externes, parametrables, et par 
consequent evolutifs, avec d'eventuelles restrictions specifiques pour certains 



terminaux et/ou sur la presence d'une licence d'utilisation, et d'une troisieme 
part, a I'apparition d'evenements imprevus internes et/ou externes, tels que 
des attaques non repertoriees, ou des attaques repertoriees, telles que par 
exemple des tentatives de connexion sur des services heberg6es (http, VPN, 
5 telnet), des tentatives de sondage de port (« port scanning »), des 
modifications de trafic sur les interfaces LAN / WAN, telles que des 
connexions/deconnexions a un service ou site Internet, des liens avec des 
terminaux distants, ou des apparitions/disparitions de tunnels securises (ou 
cryptes) associes a un procede d'authentification, ou encore des stimuli 
10 generes lors de I'execution de taches par les services ou par une carte. 

Pour remplir les fonctions precitees, le module de gestion 8 comporte 
un premier module de configuration 9 couple a un second module de 
« liaison » 10, 6galement appele « meta-pare-feu » et couple au module pare- 
feu 5. 

15 Lorsque le serveur 2 recoit des donnees secondaires relatives a des 

modifications de caracteristiques physiques (ou materielles), a des 
(modifications de) parametres de service, ou a des informations 
« contextuelles » (stimuli), il gen&re des donnees auxiliaires (ou 
complementaires) a destination du module de gestion 8, pour lui demander de 

20 (re)configurer son module pare-feu 5. A reception de ces donnees auxiliaires, 
le module de gestion 8 les communique a son premier module de 
configuration 9. 

Le module de configuration 9 est un organe de decision qui decide de 
I'opportunite d'apporter des modifications a la configuration en cours du 
25 module pare-feu 5, tandis que le meta pare-feu 10 est charge de sa mise en 
ceuvre pratique. 

Le meta pare-feu 10 comporte un sous-module d'interface 11 (ou 
« moteur »), couple au module pare-feu 5 et a au moins une premiere 
memoire 12 dans laquelle est stockee une premiere table T1 de 
30 correspondance entre des donnees d6finissant des regies Slementaires (ou 
primaires) parametrables et des identifiants primaires. 

Plus precisement, on stocke dans la premiere table des 
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definitions/prototypes d'ensembles (ou classes) de regies elementaires (ou 
primaires), appeles meta-regles (primaires). Chaque rneta-regle est dediee a 
une categorie de filtrage choisie. Chaque ensemble ou classe (ou rneta-regle 
primaire) comprend au moins une regie elementaire ou primaire, mais 

5 generalement, il faut plusieurs regies elementaires pour definir un filtrage. 

Un identifiant primaire est associe & chaque classe de regies ou 
rneta-regle primaire. Les meta-regles poss^dent done chacune une definition 
(ou un prototype) stockee dans la premiere table T1. Ces definitions sont 
pref6rentiellement produites a I'aide d'un outil de compilation, dans la phase 

10 de conception du dispositif, compte tenu du module pare-feu 5 et de son 
utilisation. En fait, I'outil de compilation produit des meta-regles dont le 
contenu est conforme au module pare-feu 5 (ou qui peuvent se traduire par 
des regies primaires equivalentes et comprehensibles par le module pare-feu, 

5). 

is Le premier module de configuration 9 connaTt la liste des identifiante 

primaires des meta-regles, et le type de donnees auxiliaires auxquels ils 
correspondent. Par consequent, a reception de donnees auxiliaires (indiquant 
par exemple qu'une nouvelle connexion IP, de type ISDN, a 6te requise par 
un terminal du reseau interne 4), le premier module de configuration 9 peut eh 

20 deduire, d'une part, leur(s) type(s) et par consequent la ou les meta-regles 
qu'il doit associer a ces donnees auxiliaires pour que le module pare-feu 5 
puisse etre (re)configure, II foumit alors au moteur 1 1 du meta pare-feu 10 le 
ou les identifiants primaires et les donnees auxiliaires (ou valeurs de 
parametres) associees. 

25 Dans un premier exemple de realisation, a reception des identifiant(s) 

primaire(s) et donnees auxiliaires (ou valeurs de parametres), le moteur 1 1 
extrait de la premiere table T1 la definition associee et attribue aux 
parametres des meta-regles primaires designees les valeurs (ou donnees 
auxiliaires) re$ues. II gendre ainsi une ou plusieurs nouvelles meta-regles 

30 primaires qu'il transmet au module pare-feu 5, pour qu'elle(s) se substitue(nt) 
a celle(s) qui etai(en)t devenues inadaptee(s), ou pour qu'elles les completent. 
Ce mode de realisation permet de ne modifier que la partie de la 
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configuration du module pare-feu 5 qui est concern^e par les donne* 
auxiiiaires fournies par le serveur 2. Ce mode de realisation est avantaget 
lorsque le module pare-feu 5 peut fournir ses parametres de configuration c 
fa?on simple et rapide. Dans ce cas, le moteur 1 1 peut en effet savoir quel 

5 est la configuration en cours dans le module pare-feu 5 et ne proceder qu'a 
modification des parametres ayant evolue. En revanche, ce premier mode c 
realisation peut ne pas §tre optimal, lorsque le module pare-feu 5 n'est p* 
congu pour fournir ses param§tres de configuration ou ne peut le faire c 
fagon simple et rapide. En effet, puisque Ton ne connaTt pas la meta-reg 

10 primaire qui est activee dans le module pare-feu 5, il faut recalcu* 
integralement toutes ses regies avec les valeurs de parametres fournies, c 
qui peut s'av§rer assez long lorsque cette dasse comprend de nombreus* 
regies 6lementaires. Cela peut aussi s'averer difficile voire impossibl 
notamment dans le cas d'evenements aleatoires, car cela suppose 

is sauvegarde de toutes les donnees caracteristiques de tous les evenements 
le parametrage des rdgles primaires du module pare-feu 5, ce qui reviendrs 
a d^porter la table T2, dont il est question ci-apr^s, a un niveau amont c 
traitement 

Le dispositif selon Tinvention peut done se d^cliner sous une fornr 
20 legerement difJ&rente, illustree sur la figure 2. Dans ce second exemple c 
realisation, le meta pare-feu 10 comprend une seconde memoire 13, couple 
au moteur 1 1 et dans laquelle se trouve stock^e une seconde table T2 c 
correspondence entre des identifiants secondaires et des identifian 
primaires, qui designent des meta-regles primaires dites « activees » (c 
25 seleciionnees) du fait qu'elles participent a la configuration en cours c 
module pare-feu 5, associees 3 des donn6es auxiiiaires definissant k 
valeurs en cours des parametres des meta-rdgles participant a cet 
configuration. En d'autnes termes, la configuration en cours du module pan 
feu 5 est stockee dans la seconde memoire 13. 
30 Certains identifiant secondaires peuvent dtre identiques & certair 

identifiants primaires, par exemple lorsqu'une meta-regle primaire n'est mis 
en ceuvre que sous un unique parametrage (ou jeu de donnees auxiliaire 
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dans le module pare-feu 5. En revanche, un identifiant secondaire est 
different d'un identifiant primaire des lors que la meta-r£gle primaire 
correspondante est mise en ceuvre sous plusieurs parametrages differents 
dans le module pare-feu 5. 

Preferentiellement, le premier module de configuration 9 connaTt la 
liste des identifiants secondaires et le type de donnees auxiliaires auxquels ils 
correspondent. Par consequent, & reception des identifiant(s) secondaire(s) et 
valeurs fournis par le premier module de configuration 9, le moteur 11 
inspecte tout d'abord la seconde table T2 de maniere a determiner si le ou 
lesdits identifiants secondaires s'y trouvent siockes en correspondance de 
donnees auxiliaires (ou valeurs), §ventuellement differentes de celles revues. 

Si tel n'est pas le cas, il procede comme dans le premier mode de 
realisation. II extrait done de la premiere table T1 la definition de la meta-regie 
assoctee a I'identifiant secondaire ou primaire regu et attribue aux paramStres 
de cette m§ta-r6gle les valeurs (ou donnees auxiliaires) regues. II peut 
egalement prendre la decision d'effacer des meta-regles de ia seconde table 
T2. Dans ce cas il reconstruit au pr§alable Pensemble des regies primaires 
associees aux anciennes donnees auxiliaires et les efface du module pare- 
feu 5. La modification d'une m£ta-r§gle suppose aussi Teffacement pr6alable 
de son ancienne version lorsque le module pare-feu 5 ne propose pas de 
moyens simples pour identifier les regies primaires activees (ce que Pon peut 
supposer puisque le m6ta pare-feu permet d'apporter un moyen simple 
^identification des meta-regles a I'aide d'un identifiant secondaire). 

II g6nere ainsi une classe de nouvelles regies elementaires qu'il 
transmet au module pare-feu 5 f pour qu'elle se substitue a celle qui etait 
devenue inadaptee, ou pour qu'elle complete les m6ta-regles deja activ6es. 
Puis, il stocke dans la seconde table T2 I'identifiant secondaire de la meta- 
regle et les donnees auxiliaires associees, puisqu'elles definissent desormais 
une partie de la configuration en cours. 

En revanche, si Hdentifiant primaire ou secondaire est present dans 
la seconde table T2, il extrait les donnees auxiliaires associees a cet 
identifiant primaire et ne remplace que celles qui doivent §tre changees. Bien 
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entendu. il peut egalement rajouler des donnees auxiliaires (ou valeurs) si de 
nouveaux parametres ont ete introduits par le premier module de 
configuration 9. II transmet ensuite au module pare-feu 5 la ou les meta-regles 
modifiees, ou la ou les nouvelles meta-regles parametrees, pour qu'elles se 
substituent a celles devenues inadaptees, ou viennent les completer. Puis, il 
stocke dans la seconde table T2 les nouvelles donnees auxiliaires en 
correspondance de I'identifiant secondaire et de I'identifiant primaire associes, 
puisqu'elles definissent desormais une partie de la configuration en cours. 

Afin d'accelerer encore plus les traitements de reconfiguration, on 
peut egalement constituer dans la seconde table T2 des classes de classes 
(ou classes de meta-regles primaires) constituant des meta-regles 
secondares. Dans ce cas, on associe ces meta-regles secondares a des 
identifiants secondares qui sont egalement stockes dans la seconde table T2 
en correspondance des identifiants primaires et donnees auxiliaires associes, 
lorsque ces meta-regles secondaires sont activees (ou selectionnees) avec 
lesdites donnees auxiliaires. 

On peut egalement instaurer dans les tables de correspondance des 
niveaux de priorite entre regies d'une meta-regle primaire, ou entre meta- 
regles primaires d'une meta-regle secondaire, ou encore entre meta-regles 
primaires ou secondaires. 

De preference, le moteur 11 est agence pour supprimer de la 
seconde table T2, sur ordre du premier module de configuration 9, des 
identifiants secondaires associes a des meta-n§gles primaires qui ne sont plus 
actives dans le module pare-feu 5. Egalement de preference, le moteur 11 est 
agence pour ajouter ou modifier dans la seconde table T2, sur ordre du 
premier module de configuration 9, des identifiants secondaires associes a de 
nouvelles meta-regles primaires ou secondaires, ou bien ajouter ou supprimer 
d'une meta-regle secondaire une ou plusieurs meta-regles primaires. II peut 
egalement etre agence pour fusionner au sein d'une meme meta-regle 
secondaire, sur ordre, des meta-regles primaires ou secondaires appartenant 
a au moins deux meta-regles primaires ou secondaires differentes, ou bien 
scinder une meta-regle primaire ou secondaire, sur ordre, en au moins deux 
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rneta-regles primaires ou secondaires, de maniere a creer de nouvelies 
definitions de filtres. 

Les ordres transmis par le premier module de configuration 11 
resultent de preference destructions (ou donnees complementaires) regues 
5 du serveur 2. 

Deux exemples de sauvegarde de donnees dans la seconde table T2 
vont maintenant §tre d6crits & titre illustratif. Comma indique pr6cedemment, 
la premiere table T1 comporte des definitions ou prototypes de meta-r6gles 
primaires en correspondence d'identifiants primaires. Par exemple, Tidentifiant 
10 primaire « Email » designe I'ensemble (ou jeu) de trois prototypes de regies 
primaires : 

© Ftegle 1: Flow=FromLanToWan Source=$1 ProtocoMcp 
DestinationPort=smtp Action=ACCEPT 

9 Regie 2: Flow=FromLanToWan Source=$1 Protocol=tcp 
1 5 DestinationPort=pop3 Action=ACCEPT 

o Rdgle 3: Flow=FromWanToLan Destination=$1 Protocol=tcp 
DestinationPort= smtp Action=ACCEPT 
Cette m§ta-regle Email permet I'echange de courrier electronique 
entre un serveur de courrier electronique sur le r6seau interne (LAN) et le 
20 serveur de HSP sur Internet Elle ne comporte qu'un seul paramdtre « $1 » 
(ou donnee auxilliaire) qui correspond a I'adresse IP du serveur de courrier 
electronique sur le LAN. 

Ce parametre est transmis par Fintermediaire d'une syntaxe 
particuliere aux trois prototypes de regies primaires. 
25 Les autres parametres (« ProtocoNtcp, DestinationPort=smtp » ou 

« FromLanToWan »), caracterisant les regies primaires, sont definis de 
manidre statique dans f entree de la premiere table. 

Lorsque Ton veut activer la meta-rdgle primaire Email avec une 
adresse de serveur 10.0.0.1 (ou donnee auxiliaire), on sauvegarde dans la 
30 seconde table T2 Tidentifiant primaire Email associe a I'adresse 10.0.0.1, en 
correspondence d'un identifiant secondaire qui peut etre egalement, dans cet 
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exemple, Email. Dans la seconde table T2 cela peut s'exprimer sous la 
forme : « Email -> Email 10.0.0.1 ». 

Cette sauvegarde peut etre obtenue a I'aide d'une commande du type 
« metafirewall add Email 10.0.0.1 ». 

Si Ton doit ult6rieurement modifier I'adresse du serveur ou supprimer 
la meta-regle Email, on lancera respectivement les commandes « metafirewall 
add Email 20.0.0.1 » et « metafirewall delete Email ». 

Si, Installation evolue, par exemple du fait qu'elle dispose d'un 
second serveur de courrier electronique d'adresse « 10.0.0.2 », et que Ton 
veut gerer les deux serveurs a I'aide d'une unique meta-regle secondare, on 
peut associer a celle-ci I'identifiant secondaire « Serveur ». 

Pour sauvegarder dans la seconde table T2 cet identifiant secondaire 
designant une meta-regle secondaire, et les donnees auxiliaires associees, 
on lance les commandes « metafirewall addin Serveur Email 10.0.0.1 » et 
« metafirewall appendin Serveur Email 10.0.0.2 » 

Dans la seconde table T2 cela peut s'exprimer sous la forme : 
e Serveur -> Email 10.0.0.1 
Email 10.0.0.2 

Si cela s'avere necessaire, on pourra effacer la meta-regle Serveur 
par la commande « metafirewall delete Serveur ». 

Bien que cela ne soit pas une obligation, le premier module de 
configuration 9 peut etre subdivise en plusieurs sous-modules de 
configuration charges chacun de I'activation et de la parametrisation 
(parametres auxiliaires) d'un ensemble distinct de meta-regles (primaires 
et/ou secondares), de sorte qu'a reception de donnees primaires seul soit 
appele le module qui leur est associe. Dans ce cas, chaque sous-module est 
agence pour adresser une sous-partie du moteur 11, elle meme couplee a 
une sous-partie de la premiere table T1. Des liens de dependance peuvent 
exister entre modules. Dans ce cas I'appel d'un module implique qu'il appelle 
lui meme les modules dont il depend ou auxquels il est associe. Cela peut 
permettre de reduire encore plus le temps necessaire au calcul d'une 
reconfiguration. 
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Le module de configuration 9 et le meta pare-feu 10 ont ete decrits ci- 
avani sous la forme de deux modules couples, mais separes. Mais, ils 
pourraient ne faire qu'un unique module 8. 

Par ailleurs, on a decrit un dispositif constituant a lui seul un pare-feu. 
5 Mais, le dispositif selon invention pourrait ne pas comporter le module pare- 
feu 5, celui-ci etant deja implante dans le serveur 2, sous forme native. Par 
consequent, dans ce cas, le dispositif selon I'invention n'est constitue que du 
module de gestion 8, celui-ci devant alors etre implante dans le serveur 2 afin 
d'y etre couple au module pare-feu natif. 

io En outre, certains modules du dispositif 1 , tels que le premier module 

de configuration 9 et le moteur 11, peuvent etre realises sous la forme de 
module(s) logiciel(s) ("software"). Mais ils peuvent etre egalement realises, au 
moins en partie, sous la forme de circuits electroniques ("hardware"), ou 
encore sous la forme de combinaisons de modules logiciels et de circuits 

15 electroniques. Ces modules logiciels peuvent §tre, par exemple, realises en 
langage java ou en langage C ou C++. 

On peut egalement integrer des fonctionnalites du meta pare-feu 10 
(notamment le nommage de regies a travers les tables T1 et T2) dans un 
pare-feu classique 5. 

20 L'invention offre egalement un precede de traitement dynamique de 

donnees permettant d'appliquer a des donnees primaires recues par un 
serveur informatique 12, des traitements specifiques a partir de regies 
primaires, de sorte que les donnees primaires recues soient traitees avant 
d'etre transmises par ledit serveur. 

25 Celui-ci peut etre mis en ceuvre a I'aide du dispositif presente ci- 

avant. Les fonctions et sous-fonctions principales et optionnelles assurees par 
les etapes de ce precede etant sensiblement identiques a celles assurees par 
les differents moyens constituants le dispositif, seules seront resumees ci- 
apres les etapes mettant en ceuvre les fonctions principales du precede selon 

30 l'invention. 

Ce procede comporte une etape preliminaire dans laquelle on stocke 
dans une premiere table T1 des ensembles de regies primaires (dits « meta- 
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regies primaires », constiiues d'au moins une regie primaire), sous une forme 
parametrable, en correspondance d'identifianls primaires, puis on seiectionne 
dans la premiere table T1 certains identifiants primaires et, a reception de 
donnees auxiliaires representatives de parametres de fonctionnement, 
delivrees par !e serveur 2 consecutivement a la reception de donnees 
secondares, on seiectionne dans la premiere table Tun au moins des 
identifiants primaires et on associe a cet identifiant primaire les donnees 
auxiliaires, de maniere & d6finir les traitements specifiques. 

Par ailleurs, lors de Petape preliminaire on peut stacker dans une 
seconde table T2 des identifiants secondaires en correspondance, chacun, 
d'au moins un identifiant primaire seiectionne associe a des donnees 
auxiliaires. 

En outre, on peut paralyser a la fois la selection dans la premiere 
table T1 des meta-regles primaires, et la modification dans la seconde table 
T2 des donnees auxiliaires associ6es a I'identifiant secondaire representatif 
des meta-rdgles primaires ou secondaires selectionnees. 

L'invention ne se limite pas aux modes de realisation de dispositif et 
de procedd decrits ci-avant, seulement a titre d'exemple, mais elle englobe 
toutes les variantes que pourra envisager Thomme de Tart dans le cadre des 
revendications ci-apres. 
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REVEWDICATiONS 

1. Dispositif de traitement de donnees (1), implantable dans un 
serveur informatique (2) agence pour recevoir des donnees primaires et 

5 transmettre ces donnees primaires apres application par des moyens de 
controle (5) de traitements specifiques reposant sur des regies primaires, 
caracterise en ce qu'il comprend i) une premiere table (T1) dans laquelle sont 
stockes des ensembles d'au moins une regie primaire, dits « meta- 
regles primaires», sous une forme parametrable, en correspondance 

10 d'identifiants primaires, et ii) des moyens de gestion (8) destines a etre 
couples auxdits moyens de contrdle (5) et agences, a reception de donnees 
auxiliaires representatives de parametres de fonctionnement, delivrees par 
lesdits moyens de contrdle (5) consecutivement a la reception par le: serveur 
(2) de donnees secondaires, pour selectionner dans la premiere table (T1) 

15 I'un au moins des identifiants primaires et lui associer lesdites donnees 
auxiliaires, de maniere a definir lesdits traitements specifiques. 

2. Dispositif selon la revendication 1, caracterise en ce qu'il 
comprend une seconde table (T2), accessible auxdits moyens de gestion (8), 
dans laquelle sont stockes des identifiants secondaires en correspondance, 

20 chacun, d'au moins un identifiant primaire selection ne associe a des donnees 
auxiliaires. 

3. Dispositif selon la revendication 2, caract6ris6 en ce que lesdits 
moyens de gestion (8) sont agences, a reception desdites donnees 
auxiliaires, pour determiner s'il leur correspond dans la seconde table (T2) 

25 des identifiants primaires selectionnes, de maniere a leur associer de 
nouvelles donnees auxiliaires destinees a adapter lesdits traitements 
specifiques. 

4. Dispositif selon Tune des revendications 2 et 3, caracterise en 
ce que certaines meta-regles primaires selectionnees sont regroupees dans 

30 la seconde table (T2) en meta-regles secondaires representees par des 
identifiants secondaires. 

5. Dispositif selon Tune des revendications 1 a 4, caracterise en ce 
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que lesdits moyens de gestion (8) i) comprennent une multiplicity de sous- 
modules de gestion agences pour gerer chacun I'association de donnees 
auxiliaires a au moins une meta-regle primaire ou secondaire, et ii) a 
reception desdites donnees auxiliaires sont agences pour determiner parmi 
lesdits sous-modules de gestion celui qui leur correspond. 

6. Dispositif selon Tune des revendications 2 a 5, caracterise en ce 
que lesdits moyens de gestion (8) sont agences, a reception de certaines 
donnees complementers communiquees par le serveur (2), pour ajouter, 
supprimer ou modifier dans la seconde table (T2) des meta-regles primaires 
ou secondaires ou des donnees auxiliaires associees auxdites meta-regles 
primaires ou secondaires. 

7. Dispositif selon I'une des revendications 1 a 6, caracterise en ce 
que lesdits moyens de gestion (8) et lesdites tables (T1.T2) font partie d'un 
meta pare-feu propre a gerer un pare-feu equipant ledit serveur (2). 

8. Pare-feu, caracterise en ce qu'il comprend un dispositif (1) selon 
I'une des revendications 1 a 7. 

9. Procede de trartement de donnees, consistant a appliquer a des 
donnees primaires recues par un serveur informatique (2), des traitements 
specifiques a partir de regies primaires, de sorte que les donnees primaires 
recues soient traitees avant d'etre transmises par ledit serveur, caracterise en 
ce qu'il comprend une etape preliminaire dans laquelle i) on stocke dans une 
premiere table <T1) des ensembles d'au moins une regie primaire, dits 
« meta-regles primaires», sous une forme parametrable, en correspondance 
d'identifiants primaires, et ii) a reception de donnees auxiliaires 
representatives de parametres de fonctionnement, delivrees par le serveur (2) 
consecutivement a la reception de donnees secondaires, on selectionne dans 
la premiere table (T1) I'un au moins des identifiants primaires et on associe a 
cet identifiant primaire lesdites donnees auxiliaires, de maniere a definir 
lesdits traitements specifiques. 

, 10. Procede selon la revendication 9, caracterise en ce qu'a I'etape 

preliminaire on stocke dans une seconde table (T2) des identifiants 
secondaires en correspondance, chacun, d'au moins un identifiant primaire 
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selectionne associe a des donnees auxiliaires. 

11. Procede selon la revendication 10, caracterise en ce qu'a 
reception des donnees auxiliaires, on determine s'if leur correspond dans la 
seconde table (T2) des identifiants primaires selectionnes, de maniere a leur 
associer de nouvelles donnees auxiliaires destinees a adapter lesdits 
traitements specifiques. 

12. Procede selon I'une des revendications 1 0 et 1 1 , caracterise en 
ce que certaines meta-regles primaires sont regroupees dans la seconde 
table (T2) en meta-regles secondares representees par des identifiants 
secondaires. 

13. Procede selon I'une des revendications 9 a 12, caracterise en 
ce qu'on parallelise i) la selection dans la premiere table (T1) des meta-regles 
primaires ou secondaires, et \\) la modification dans la seconde table (T2) des 
donnees auxiliaires associees a I'identifiant secondaire representatif des 
meta-regles primaires ou secondaires selecttonnees. 

14. Procede selon Tune des revendications 9 a 13, caracterise en 
ce qu'a reception de donnees complementaires communiquees par ledit 
serveur (2), on ajoute, supprime ou modifie dans la seconde table (T2) des 
meta-regles primaires ou secondaires. 

15. Utilisation du dispositif et du procede selon I'une des 
revendications precedentes, dans le domaine des reseaux de 
telecommunications choisis dans un groupe comprenant les reseaux publics 
et les reseaux prives. 
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S5° D'EMREGISTRE&IENT NATIONAL 




T8TRE DE L'lNVIEOTtOW (200 carsreteres o« espaces maximum) 

DISPOSITIF D'ADAPTATION DYNAMIQUE DE FILTRES DE DONNEES 


LE(S) DEMANDEUR(S) : 




| Societe anonyme ALC ATE 




J DES!GHE(MT} m TOBW QO'ifWEOTEORCS) : (Undtques en liaii* a drofte «S*age AS 0, 1/U Sir y a plus de trofe hweiitettrs, 
trtHisez un formulaire Wentlque et num£rotez chaqtio page est Indiquanft le nombre total de pages). 


Norn 


OFFREDO 


Prenoms 


Gaetan 


Adresse 


Rue 


1 RUE DU DR SCHWEIZER 




Code postal et vilfe 


67408 I ILLKIRCH CEDEX. FRANCE 


Societe d'appartenance ijiiatittiiij) 




Nom 


PENNERATH 


Prenoms 


Fr6d§ric 


I Adresse 


Rue 


1 RUE DU DR SCHWEIZER 




Code postal et vitle 


67408 I ILLKIRCH CEDEX. FRANCE 


Societe d'appartenance ifacitlktiifi 




Nom 




Prenoms 




Adresse 


Rue 






Code postal et ville 


I 


Societe d'appartenance (Jhaittatift 





DATE ET S!GSMTMRE(S) 



^IDU fiflAfllDATAJRE 

(Horn et qualite du signataire) 



23 avril 2002 
Daniele LAROCHE 



La loi n°78-17 du 6 Janvier 1978 relative a i'informatique. aux fichlers et aux libertes s'appllque aux reponses faites a ce formulaire. 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'INPI. 
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Cadre n° Vin.iv) DECLARATION : QUALITY D'INVENTEUR 

(seulement aux fins de la designation des frats-Unis d'Amerique) 

La declaration doit etre confornie au libelle standard suivant prevu a ^instruction 214; voir les notes relatives awe cadres rf* WZT, VIII J) 
a v) (generalites) et les notes spicifiques au cadre n° VIII. iv). Si ce cadre n 'est pas utilise', cette feuillene doit pas etre incluse dans la requite. 



Declaration relative a la qualite d'inventeur (regies 4.17.iv) et 516&.l.a)iv)) 
aux fins de la designation des fetats-Unis d'Amerique : 

Par la presente, je declare que je crois Stre le premier inventeur original et unique (si un seul inventeur est mentionne ci-dessous) ou 
Tun des premiers coinventeurs (si plusieurs inventeurs sont mentionnes ci-dessous) de l'objet revendique pour lequel un brevet est 
demanded 

La presente declaration a trait a la demande internationale dont elle fait partie (si la declaration est deposee avec la demande). 

La presente declaration a trait a la demande internationale n° PCT/ (si la declaration est remise 

en vertu de la regie 26ter). 

Par la pr6sente, je declare que mon domicile, mon adresse postale et ma nationalite sont tels qu'indiques pres de mon nom. 

Par la presente, je declare avoir pass6 en revue et comprendre le contenu de la demande internationale a laquelle il est fait reference 
ci-dessus, y compris les revendications de ladite demande. J'ai indiquS dans la requeue de ladite demande, conformement a la regie 4. 1 0 
du PCT, toute revendication de priority d*une demande 6trangere et j'ai identifi6 ci-dessous, sous l'intitule "Demandes anterieures", 
au moyen du numero de demande, du pays ou du membre de l'Organisation mondiale du commerce, du jour, du mois et de l'annee 
du depdt, toute demande de brevet ou de certificat d'auteur d' invention deposes dans un pays autre que les 6tats-Unis d'Amerique, 
y compris toute demande internationale selon le PCT d£signant au moins un pays autre que les fitats-Unis d'Amerique, dont la date 
de depot est anterieure a celle de la demande etrangere dont la priorite est revendiquee. 

Demandes antSrieures : 



Par la presente, je reconnais 1'obligation qui m'est faite de divulguer les renseignements dont j *ai connaissance et qui sont pertinents 
quant a la brevetabilitS de rinvention, tels qu'ils sont definis dans le Titre 37, § 1 .56, du Code federal des reglementations, y compris, 
en ce qui concerne les demandes de continuation-in-part les renseignements pertinents qui sont devenus accessibles entre la date de 
depdt de la demande anteneure et la date du depdt international de la demande de continuation-in-part. 

Je declare par la presente que toute declaration ci-inchise est, a ma connaissance, veridique et que toute declaration formulae a partir 
de renseignements ou de suppositions est tenue pour veridique; et de plus, que toutes ces declarations ont 6t6 formulees en sachant 
que toute fausse declaration volontaire ou son equivalent est passible d'une amende ou d'une incarceration, ou des deux, en vertu de 
la Section 1001 du Titre 18 du Code des fitais-Unis, et que de telles declarations volontairement fausses risquent de compromettre la 
validite de Ja demande de brevet ou du brevet dSlivre" a partir de celle-ci. 

OFFREDO Ga6tan 

Nom : 

Domicile :f R 

(ville et fitat (des £tats-Unis d'Amerique), le cas echeant, ou pays) 

a A-r**<icf « rt e*«i» . 77 1X16 des charrnilles 

Adresse postale . s?/m ^Q noH QFTAFFENSTADEN 

FRANCE. . . 

FR 



Nationality : 

Signature de 1' inventeur : ^ 
(si elle ne figure pas dans la requete, ou &-i£^i|claration a fait 1 ' obj et 
de corrections ou d'adjonctions en vertu de la regie 26fer apres le 
depdt de la demande internationale. La signature doit etre celle de 
rinventeur, il ne peut s'agir de celle du mandataire) 




Date : ?k . JtttfJ. . .SUo^ 

(de la signature qui ne figure pas dans la requdte, ou de la 
declaration qui a fait l'objet de corrections ou d'adjonctions en 
vertafclare^e26fCTapresledepdtdelad 



Nom : 



PENNERATH Fnkteric 



.FR 



Domicile : 

(ville et fetat (des £tats-Unis d'Amerique), le cas echeant, ou pays) 
a a ^, 41,rue de rOrnrie 

Adresse postale : 6740Q |LlX | RCH 

FRANCE 



FR 



Nationality 



Signature de l'inventeurj 



'.'.JL'.. '. 3o'. 'Aeiitf'.iQa i 



(si elle ne figure pas dansfa requete, ou si la declaration a fait l'objet 
de corrections ou d'adjonctions en vertu de la regie 26/er apres le 
depdt de la demande internationale. La signature doit Stre celle de 
Vinventeur, il ne peut s'agir de celle du mandataire) 



Date 

(de la signature qui ne figure pas dans la requ&e, ou de la 
declaration qui a fait l'objet de corrections ou d'adjonctions en 
vertu de la regie 26ter apres le depdt de la demande internationale) 



n Cette declaration continue sur la feuille suivante, "Suite du cadre n° Vm.iv)". 
Fonnulaire PCT/RO/101 (feuille de declaration iv)) (mars 2001; reimpression janvier 2003) Voir les notes relatives auformulaire de requete 
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